Popüler dosya sıkıştırma ve arşivleme programı 7-Zip'te, kullanıcıları hedef alarak uzaktan kod çalıştırmaya olanak tanıyan iki kritik güvenlik açığı keşfedildi. Bu zafiyetler, kötü amaçlı bir ZIP dosyasının açılmasıyla siber saldırganların sistemlere sızmasına yol açabilir.
Trend Micro'nun Zero Day Initiative (ZDI) ekibi tarafından 7 Ekim'de duyurulan bu güvenlik açıkları, 7-Zip'in popüler açık kaynaklı yazılımının birçok sürümünü etkiliyor. Geliştiriciler tarafından Temmuz ayında yayınlanan 25.00 sürümüyle bu sorunlar sessizce giderilmişti.
CVE-2025-11001 ve CVE-2025-11002 olarak takip edilen bu kusurlar, 7-Zip'in ZIP dosyaları içindeki sembolik bağlantıları işleme biçiminden kaynaklanıyor. Basitçe ifade etmek gerekirse, özel olarak hazırlanmış bir arşiv, hedeflenen çıkartma dizininden çıkarak sistemdeki başka konumlara dosya yazabiliyor. Bu durum, özellikle Windows ortamlarında kullanıcı haklarıyla tam kod yürütme yetkisi kazandırarak sistemlerin ele geçirilmesine yol açabiliyor. Her iki zafiyetin de CVSS puanı 7.0 olarak belirtiliyor.
ZDI'nin raporuna göre, bu açığın istismar edilmesi kullanıcı etkileşimi gerektirse de, bu eşik oldukça düşük. Kötü amaçlı bir arşivi açmak veya çıkartmak tek başına yeterli olabiliyor. Ardından, sembolik bağlantı gezinme kusuru, hassas konumlara zararlı yazılımlar yerleştirerek saldırganın saldırı akışını kontrol etmesini sağlıyor. ZDI, her iki hatayı da bir servis hesabı bağlamında uzaktan kod yürütmeye yol açan dizin geçişi olarak sınıflandırıyor.
7-Zip'in geliştiricisi Igor Pavlov, Temmuz ayında yayınladığı 25.00 sürümüyle bu güvenlik açıklarını kapatmıştı. Mevcut kararlı sürüm olan 25.01 ise Ağustos ayında yayınlandı. Ancak güvenlik detaylarının kamuoyuna duyurulması bu hafta ZDI'nin raporlarıyla gerçekleşti. Bu da, yaz aylarından beri güncelleme yapmayan kullanıcıların aylarca farkında olmadan savunmasız kaldığı anlamına geliyor.
Otomatik bir güncelleme mekanizmasının bulunmaması, bu tür sorunları daha da büyütüyor. 7-Zip'in manuel olarak güncellenmesi gerekiyor ve birçok kullanıcı eski taşınabilir sürümlere güveniyor. Kurumsal ortamlarda dahi, Windows Installer veya merkezi bir depo aracılığıyla yüklenmediği için yama yönetim sistemlerinden kaçabiliyor.
Bu yılın başlarında, CVE-2025-0411, kötü amaçlı ZIP dosyalarını iç içe geçirerek Windows'un Mark-of-the-Web korumalarını atlatabilmesiyle gündeme gelmişti. Bu kusur, 24.09 sürümünde giderilmişti.
Sistemlerinizi güvende tutmak için 7-Zip sürüm 25.01 veya daha yenisini doğrudan projenin resmi sitesinden indirmeniz önerilir. Kurulum sihirbazı, mevcut ayarlarınızı etkilemeden mevcut kurulumunuzu güncelleyecektir. Güncelleyene kadar doğrulanmamış kaynaklardan arşiv çıkartmaktan kaçının.
